Novi malver nazvan ‘WogRAT’ cilja i Windows i Linux u napadima zloupotrebljavajući online notepad platformu nazvanu ‘aNotepad’ kao prikriveni kanal za skladištenje i preuzimanje malicioznog koda.
Prema istraživačima AhnLab Security Intelligence Centra (ASEC), koji su malver nazvali ‘WingOfGod’, on je aktivan najmanje od kraja 2022, ciljajući Japan, Singapur, Kinu, Hong Kong i druge azijske zemlje.
Metode distribucije su nepoznate, ali imena uzorkovanih izvršnih datoteka liče na popularni softver (flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe), tako da se vjerovatno distribuišu putem malvertiziranja ili sličnih šema.
Zloupotreba internetskih beležnica
Važno je napomenuti zloupotrebu aNotepad-a, besplatne online notepad platforme, za hostovanje base64 kodirane .NET binarne verzije Windows malvera, prerušene u Adobe alat.
Budući da je legitimna internetska usluga, aNotepad nije blokiran na listi ili se ne tretira sumnjivo od strane sigurnosnih alata, što pomaže da lanac infekcije bude skriveniji.
Kada se malver prvi put izvrši na žrtvinoj mašini, malo je vjerovatno da će ga AV alati označiti jer ne sadrži nikakvu zlonamjernu funkcionalnost.
Međutim, malver sadrži šifrirani izvorni kod za malver downloader koji se kompajlira i izvršava u hodu.
Ovaj downloader preuzima daljnji zlonamjerni .NET binarni fajl pohranjen u base64 kodiranom obliku na aNotepad-u, što rezultira učitavanjem DLL-a, koji je WogRAT backdoor.
WogRAT šalje osnovni profil zaraženog sistema serveru za komandu i kontrolu (C2) i prima komande za izvršenje.
Kodirani stringovi preuzeti iz Notepad-a (ASEC)
Postoji pet podržanih funkcija:
- Pokrenite komandu
- Preuzmite datoteku sa navedenog URL-a
- Prenesite određeni fajl na C2
- Pričekajte određeno vrijeme (u sekundama)
- Prekinite
FTP file upload(ASEC)
Linux verzija
Linux verzija WogRAT-a, koja dolazi u ELF obliku, dijeli mnoge sličnosti sa Windows varijantom. Međutim, razlikuje se po tome što koristi Tiny Shell za operacije rutiranja i dodatno šifriranje u komunikaciji sa C2.
TinySHell je backdoor otvorenog koda koji olakšava razmjenu podataka i izvršavanje naredbi na Linux sistemima za više hakera, uključujući LightBasin, OldGremlin, UNC4540 i neidentifikovane operatere Linux rootkita ‘Syslogk’.
Još jedna značajna razlika je u tome što se komande na varijanti Linuxa ne šalju putem POST zahtjeva, već se umjesto toga izdaju preko reverznog shell-a kreiranog na datom IP-u i portu.
ASEC analitičari nisu mogli utvrditi kako se ovi ELF binarni fajlovi distribuišu žrtvama, dok Linux varijanta ne zloupotrebljava aNotepad za hostovanje i preuzimanje zlonamjernog koda.
Izvor: Bleepingcomputer